[MASOCH-L] Openvpn lenta

Thu Dec 17 11:38:44 BRST 2009

Rejaine,

Não são todos meus usuários que estão usando a VPN, o problema é que tem 
gente demais num link muito pequeno, acho que é por isso que a VPN fica 
caindo toda hora.

Eu até teria como fazer controle de tráfego na saída, mas controle na 
entrada é algo curioso para se discutir. Ainda não testei, mas acho que 
daria o mesmo problema que já tenho.

A banda é bem gerenciada, os usuário reclamam mas todo mundo consegue 
trabalhar, mas ainda assim acho que fica muito pouca banda disponível 
para o OpenVPN.

Enquanto escrevia este e-mail tive a idéia de dar uma olhada na 
quantidade de retrans que estou tendo no servidor de VPN, dá pra ver o 
motivo da VPN cair toda hora, hehe, o número de ocorrências é muito 
superior ao normal.

Continuei testando o OpenVPN com TCP hoje, me parece que o que está 
escrito na página do man é bem verdade, o resultado tem sido pior do que 
com UDP.

Grato,

Catunda.

Rejaine Monteiro wrote:
> Você está fazendo QoS?  Aqui também é um link de 2MB, mas  a gente
> prioriza o tráfego de aplicações críticas, por exemplo, e joga outras
> coisas menos importantes mais para baixo, além de fazer muito controle
> de acesso dos usuários, para limitar abuso no uso da banda...   Todo o
> tráfego é redirecionado para um gateway que faz o controle de QoS 
> (entrada->saída) e daí para para usar o HTB em cima, limitar alguma
> coisa  e dar prefrência para alguns serviços. Porém , não temos o mesmo
> volume de usuários e dados que vc tem aí em cima da VPN (no máximo uns
> 20 a 30 simultâneos), e também não usamos VoIP sob VPN, portanto, é um
> perfil bem diferente do que vc tem ai..
>
>
>
> Fabio Catunda escreveu:
>   
>> Ontem resolvi dar uma olhada no que precisaria fazer pra mudar pra
>> TCP, no final das contas é mais simples do que imaginei.
>>
>> Um pedaço da página do man me chamou atenção:
>>
>>             OpenVPN is designed to operate optimally over UDP, but TCP
>> capability is provided for situations where UDP cannot be used.  In
>> comparison with UDP, TCP will usually be somewhat  less
>>              efficient and less robust when used over unreliable or
>> congested networks.
>>
>>              This article outlines some of problems with tunneling IP
>> over TCP:
>>
>>              http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
>>
>>              There are certain cases, however, where using TCP may be
>> advantageous from a security and robustness perspective, such as
>> tunneling non-IP or application-level UDP protocols, or tun-
>>              neling protocols which don't possess a built-in
>> reliability layer.
>>
>>
>> Ainda assim resolvi fazer um teste, subi o openvpn em outro servidor
>> com TCP, fiquei uns 20 minutos conectado e caiu novamente! :-(
>>
>> Pelo visto o problema é da minha conexão mesmo, 2mbits não estão sendo
>> suficientes pra 15 servidores e 200 usuários! :-D
>>
>> Valeu!
>>
>> Catunda.
>>
>> Rejaine Monteiro wrote:
>>     
>>> aqui roda com udp e é bastante estável.. nunca sentimos necessidade de
>>> mudar..
>>> em alguns casos fica horas horas sem perder conexão (salvo nos casos
>>> onde há muita  instabilidade/lentidão da própria conexão à internet,
>>> obviamente)
>>> já foi testado em diversas localidades e operadoras diferentes, alguns
>>> usando 3G
>>> e funciona bem..
>>>
>>>
>>> Fabio Catunda escreveu:
>>>  
>>>       
>>>> Aproveitando o tópico, quem usa OpenVPN com TCP tem problemas de
>>>> queda? Aqui uso com UDP e volta e meia a conexão cai, é bem chato,
>>>> estava pensando em fazer testes com TCP mas faltou tempo, se alguém
>>>> puder me dizer se a mudança para TCP resolve esse problema eu agradeço.
>>>>
>>>> Valeu.
>>>>
>>>> Catunda.
>>>>
>>>> Welkson Renny de Medeiros wrote:
>>>>    
>>>>         
>>>>> davi peres escreveu:
>>>>>      
>>>>>           
>>>>>> port 1194
>>>>>> proto udp
>>>>>> dev tun
>>>>>> ca /etc/openvpn/easy-rsa/keys/ca.crt
>>>>>> cert /etc/openvpn/easy-rsa/keys/server.crt
>>>>>> key /etc/openvpn/easy-rsa/keys/server.key  # This file should be
>>>>>> kept secret
>>>>>> dh /etc/openvpn/easy-rsa/keys/dh1024.pem
>>>>>> server 10.1.1.0 255.255.255.0
>>>>>> ifconfig-pool-persist ipp.txt
>>>>>> push "route 10.1.1.0 255.255.255.0" # adiciona rota ao cliente
>>>>>> client-config-dir ccd
>>>>>> route 10.2.2.0 255.255.255.0 # adiciona rota rede interna do cliente
>>>>>> push "dhcp-option DNS 10.1.1.254" # servidor dns do cliente
>>>>>> keepalive 10 120
>>>>>> user nobody
>>>>>> group nobody
>>>>>> persist-key
>>>>>> persist-tun
>>>>>> status /var/log/openvpn-status.log
>>>>>> log         /var/log/openvpn.log
>>>>>> verb         
>>>>>>             
>>>>> VoIP também usa UDP... derrepente pode ser alguma limitação de
>>>>> tráfego para o protocolo UDP.
>>>>>
>>>>> Eu uso OpenVPN para grande volumes de dados (mais ou menos 15 pontos,
>>>>> replicação de base de dados, por dia média de 1GB trafegado)... e
>>>>> estou usando protocolo TCP ... tinha muitos problemas de
>>>>> instabilidade com UDP, principalmente em cidades onde só tinha
>>>>> provedores a rádio.
>>>>>
>>>>> Altera para TCP, e nos avisa se melhorou alguma coisa.
>>>>>
>>>>> No servver:
>>>>> # protocolo TCP
>>>>> proto tcp-server
>>>>>
>>>>> No client:
>>>>> proto tcp
>>>>>
>>>>> Abraço,
>>>>>
>>>>>       
>>>>>           
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>     
>>>>         
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>   
>>>       
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>     
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>   